위반 통지 및 공개
23andMe는 캘리포니아 법무장관실에 회사가 2023년 4월 말부터 9월까지 해킹당했음을 확인하는 통지서를 제출했습니다. 회사는 처음에 10월 6일 블로그 게시물을 통해 위반 사실을 공개했는데, 여기서 ‘위협 행위자’라고 언급했습니다. 손상된 외부 사이트에서 “재활용된 로그인 자격 증명”을 사용하여 “특정 계정”에 액세스했습니다. 그러나 사용자의 개인 유전 정보 노출을 포함한 침해의 전체 범위는 제3자 포렌식 전문가와의 내부 검토를 거쳐 12월 5일 업데이트된 블로그 게시물을 통해서야 공개되었습니다.
의미 및 소송의 의의
원고 측 변호사 중 한 명인 Jay Edelson에 따르면 이번 소송은 소비자 개인 정보 보호법의 변화를 의미한다고 합니다. 그는 침해된 데이터의 민감도가 이제 그러한 정보가 신체적 괴롭힘이나 대규모 피해에 사용될 수 있는지 여부가 첫 번째 우려 사항이 되는 지점까지 확대되었다고 믿습니다. 침해의 복잡성은 고객이 DNA 친척이라는 기능을 선택했기 때문에 지리적 위치, 출생 연도, 가계도 및 업로드된 사진을 포함하여 550만 DNA 친척의 프로필 정보가 잠재적으로 노출되었다는 사실에 있습니다.
해커의 행동
소송에서는 해커가 “골렘”이라는 이름과 골룸의 아바타 이미지를 사용하여 온라인 포럼 BreachForums에서 유대인 혈통을 지닌 23andMe 사용자 100만 명 이상의 개인 데이터를 유출했다고 주장합니다. 유출된 데이터에는 사용자의 성명, 집 주소, 생년월일이 포함되었습니다. 또한 해커는 100,000명의 중국 고객 프로필 정보에 대한 액세스 권한을 제공했으며 그 중 350,000개의 추가 기록을 판매할 수 있었습니다. 소송은 특히 미국 유대인 인구를 표적으로 삼을 가능성과 관련하여 현재의 지정학적, 사회적 환경에서 사용자가 직면한 위험이 증폭되었음을 강조했습니다.
더 넓은 의미와 향후 예방 조치
캘리포니아 대학교 로스앤젤레스 캠퍼스의 Ramesh Srinivasan 교수는 유사한 침해가 계속될 가능성이 높다고 말했습니다. 그는 보안을 강화하고 데이터 보존을 제한하는 등 심각한 예방 조치를 취하거나 근본적인 문제를 해결하지 않고 단순히 피상적인 해결책을 적용하는 등 기업이 어떻게 대응할 것인지에 대한 질문을 던집니다. 이번 유출은 사람들의 삶에 대한 데이터화 증가와 관련된 위험 증가를 상기시키는 역할을 합니다.